Utiliser l’IA pour développer des mesures de cybersécurité améliorées
Une équipe de recherche du Laboratoire national de Los Alamos utilise l’intelligence artificielle pour remédier à plusieurs lacunes critiques dans l’analyse des logiciels malveillants à grande échelle, réalisant ainsi des progrès significatifs dans la classification des logiciels malveillants Microsoft Windows et ouvrant la voie à des mesures de cybersécurité renforcées. Grâce à leur approche, l’équipe a établi un nouveau record mondial dans la classification des familles de logiciels malveillants.
« Les méthodes d’intelligence artificielle développées pour les systèmes de cyberdéfense, y compris les systèmes d’analyse des logiciels malveillants à grande échelle, doivent prendre en compte les défis du monde réel », a déclaré Maksim Eren, scientifique en recherche avancée sur les cybersystèmes à Los Alamos. « Notre méthode en aborde plusieurs. »
L’article de l’équipe a été récemment publié dans Transactions ACM sur la confidentialité et la sécurité.
Cette recherche présente une méthode innovante utilisant l’IA qui constitue une avancée significative dans le domaine de la classification des logiciels malveillants Windows. L’approche permet d’obtenir une classification réaliste des familles de logiciels malveillants en tirant parti de méthodes de décomposition tensorielle semi-supervisée et d’une classification sélective, en particulier l’option de rejet.
« L’option de rejet est la capacité du modèle à dire ‘je ne sais pas’, au lieu de prendre une mauvaise décision, donnant ainsi au modèle la capacité de découvrir des connaissances », a déclaré Eren.
Les équipes de cyberdéfense doivent identifier rapidement les machines infectées et les programmes malveillants. Ces programmes malveillants peuvent être conçus spécifiquement pour leurs victimes, ce qui rend difficile la collecte d’un grand nombre d’échantillons pour les méthodes traditionnelles d’apprentissage automatique.
Cette nouvelle méthode peut fonctionner avec précision avec des échantillons contenant simultanément des ensembles de données plus grands et plus petits (appelé déséquilibre de classes), ce qui lui permet de détecter à la fois les familles de logiciels malveillants rares et importantes. Il peut également rejeter des prédictions s’il n’est pas sûr de sa réponse. Cela pourrait donner aux analystes de sécurité la confiance nécessaire pour appliquer ces techniques à des situations pratiques à enjeux élevés, comme la cyberdéfense, pour détecter de nouvelles menaces. Faire la distinction entre les nouvelles menaces et les types connus de spécimens de logiciels malveillants est une capacité essentielle pour développer des stratégies d’atténuation. De plus, cette méthode peut maintenir ses performances même lorsque des données limitées sont utilisées dans sa formation.
Au total, l’utilisation de l’option de rejet et des méthodes de décomposition tensorielle pour extraire des modèles cachés à multiples facettes dans les données confère une capacité supérieure à caractériser les logiciels malveillants. Cette réalisation souligne le caractère révolutionnaire de l’approche de l’équipe.
« Au meilleur de nos connaissances, notre article établit un nouveau record mondial en classifiant simultanément un nombre sans précédent de familles de logiciels malveillants, dépassant les travaux antérieurs d’un facteur 29, en plus d’opérer dans des conditions réelles extrêmement difficiles de données limitées, extrêmes. déséquilibre des classes et avec la présence de nouvelles familles de logiciels malveillants », a déclaré Eren.
Les méthodes de décomposition tensorielle de l’équipe, dotées de capacités de calcul haute performance et d’unité de traitement graphique, sont désormais disponibles sous la forme d’une bibliothèque Python conviviale dans GitHub.
